RGPD : comment sécuriser le transfert de données personnelles hors de France ?

Transférer des données hors de France est souvent envisagé avec appréhension, voir avec la croyance erronée que la réglementation l’empêcherait. Bien au contraire, un tel transfert est généralement possible, sous réserve que l’expéditeur des données s’assure des garanties apportées par le destinataire. Comment internationaliser son traitement de données personnelles ? Mode d’emploi avec notre partenaire Olivier Hayat (Hayat Avocat).

Auprès de quel marché mon entreprise a-t-elle vocation à s’implanter ? A quels sous-traitants vais-je faire appel pour assurer l’hébergement de mes données ou la sous-traitance de certains services ? Comment s’assurer de la bonne gestion d’informations entre filiales ? Autant de questions auxquelles il n’est pas aisé de répondre sur le plan opérationnel mais également juridique.

A ce titre, la réglementation en matière de données personnelles, et tout particulièrement le RGPD, invite à s’interroger sur les moyens qu’une entreprise doit mettre en œuvre pour anticiper une telle opération – soit pour elle-même (en qualité de responsable de traitement) soit dans l’intérêt de ses clients (en qualité de sous-traitant) – vers l’international.

Un transfert de données personnelle hors de France est-il possible et si oui, à quelle(s) condition(s) ? 

Première étape : le transfert envisagé concerne-t-il des données à caractère personnel ?

Le RGPD porte sur les données « à caractère personnel », c’est à dire « se rapportant à une personne physique identifiée ou identifiable », telles que les données d’identification directe (nom, prénom, email…) ainsi que celles qui permettront une identification indirecte (numéro d’identification, données de localisation, identifiant en ligne, cookies…). A noter que les informations d’ordre professionnel restent « à caractère personnel » puisqu’elles permettent d’identifier nommément une personne physique (adresse email professionnelle par exemple).

En revanche, sortiront du champ d’application du RGPD, l’ensemble des informations qui ne permettant pas d’identifier des personnes physiques, tel que (i) celles exclusivement relatives à des personnes morales, (ii) les données anonymisées de manière irréversible (donc sans possible de ré-identification ou de traçabilité par correspondance avec un autre fichier) ou (iii) les informations statistiques. 

Deuxième étape : le RGPD s’applique-t-il à mon entreprise et/ou aux personnes dont je traite les données personnelles ?

Le RGPD s’applique dès lors qu’un critère de rattachement avec l’Union Européenne existe (que le traitement ait lieu ou non dans l’Union), notamment :

• si l’entité qui traite les données est basée au sein de l’UE. Ainsi, une entreprise française devra respecter les dispositions du RGPD, même si son traitement ne porte que sur des consommateurs américains ;

• si les personnes concernées par le traitement le sont. Tel sera le cas de toute entreprise, y compris non européenne, qui visera le marché français par exemple ou encore de la gestion de salariés basés en France. 

A ce titre, il est recommandé d’anticiper les flux transfrontières de son groupe pour déterminer s’il est pertinent qu’une société européenne traite des données de consommateurs hors de l’Union, au regard des contraintes opérationnelles, financières et juridiques.

Troisième étape : vers quel pays mon transfert de données personnelles est-il effectué ? 

Trois situations sont envisageables en fonction du pays vers lequel les données vont être transférées :

• Hypothèse 1 : le pays destinataire est un pays appartenant à l’Union Européenne ou à l’Espace Économique Européen. Le transfert de données personnelles n’entraine aucune obligation spécifique complémentaire puisque le pays destinataire est lui-même directement contraint par le RGPD.

• Hypothèse 2 : le pays destinataire n’appartient pas à l’UE ou à l’EEE mais « assure un niveau de protection adéquat » selon la Commission Européenne.

En effet, l’article 45 du RGPD prévoit que la Commission Européenne peut, après analyse approfondie, constater si la réglementation nationale d’un pays présente des garanties à tout le moins égales à celles qui s’imposent en Europe. Tel est le cas, à ce jour, des 14 pays suivants : Andorre ; Argentine ; Canada (s’agissant des traitements dits « commerciaux ») ; les îles Féroé ; Guernesey ; Israël ; l’île de Man ; le Japon ; Jersey ; la Nouvelle-Zélande ; la Suisse ; l’Uruguay ; la Corée du Sud ; le Royaume-Uni.

Aucune garantie spécifique complémentaire n’est également nécessaire pour ces pays. Attention néanmoins : cette décision d’adéquation ne reste valide que si le pays conserve le niveau de protection constaté par la Commission Européenne. Le sujet est notamment très actuel pour le Royaume-Uni, dont le gouvernement a annoncé, le 9 mars dernier, qu’il envisageait d’assouplir ses règles en la matière et dont la décision d’adéquation pourrait alors être remise en cause.

• Hypothèse 3 : pour l’ensemble des autres pays non visés par les deux premières hypothèses, le transfert nécessite la mise en place de mécanismes décrits par l’article 46 du RGPD, dont deux plus particuliers retiendront notre attention.

D’une part, le destinataire pourra s’engager au titre des clauses contractuelles types » (« CCT ») établies par la Commission Européenne (disponible ci-après en français et en anglais). Ces clauses déterminent l’ensemble des garanties que l’expéditeur et le destinataire s’engageront réciproquement à appliquer, que ce soit (1) entre deux responsables de traitement, (2) soit entre un responsable de traitement et un sous-traitant, (3) soit entre deux sous-traitants. 

Pour que le transfert soit considéré comme licite, ces clauses doivent être signées en l’état par les deux parties, sans aucune modification. A défaut, une autorisation préalable d’une autorité de contrôle serait nécessaire.

D’autre part, une entité peut mettre en place des « règles internes d’entreprises » (« Binding Corporate Rules » ou « BCR »), lesquelles constituent un corpus de règles intra-groupe devant impérativement faire l’objet d’une validation préalable de l’entité européenne en charge de la protection des données personnelles, le CEPD (Comité Européen de Protection des Données).

Ces BCR sont destinées à des multinationales pour lesquelles la mise en place de clauses contractuelles types serait fastidieuse du fait du nombre d’entités concernées.

• Le cas particulier des Etats-Unis : les Etats-Unis sont un cas à part compte tenu des très nombreux acteurs américains présents sur le marché européen ainsi que de l’importance des transferts depuis et vers l’Europe.

A ce titre, la Commission Européen et les autorités américaines s’étaient accordées sur un dispositif de certification par lequel les entreprises qui souhaitaient y adhérer, s’engageaient à respecter un ensemble de garanties que la Commission Européenne considérait conformes à la réglementation européenne.

Intitulés « Safe Harbor » entre 1998 et 2015 dans sa première version puis « Privacy Shield » entre 2016 et 2020 dans une seconde version plus contraignante, ces deux dispositifs ont été successivement invalidés par la Cour de Justice de l’Union (CJUE), laquelle a considéré que « la législation [américaine] permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée ». 

A ce jour, un nouveau projet de Privacy Shield prenant en compte la décision de la CJUE rendue en 2020 est en cours d’élaboration par la Commission Européen et les autorités américaines. Son adoption reste encore compromise puisque le 28 février 2023, le CEPD a fait état de préoccupations sur ce texte qui vont sans doute inviter ses rédacteurs à revoir leur copie. Dans l’attente d’un éventuel accord et de la confirmation de sa validité, la CNIL préconise d’encadrer tout transfert vers les Etats-Unis par la signature de CCT.

Précisons que certains États ont décidé de prendre les devants en créant leur propre réglementation. Tel est le cas de la Californie (véritable vivier de startups et d’entreprises innovantes) qui s’est dotée d’une réglementation spécifique, le California Consumer Privacy Act du 28 juin 2018 et entré en vigueur le 1^er janvier 2020. Certes, ce texte ne présente pas le niveau de garantie exigé par la réglementation européenne, tant dans son contenu que du fait de l’application de la législation fédérale. Néanmoins, il constitue un indicateur à suivre d’une tendance des acteurs américains à s’aligner avec la réglementation européenne.

Quelques conseils pour sécuriser votre transfert de données vers l’étranger :

• Conseil n°1 : déterminer si le transfert est nécessaire, conformément au principe dit de « minimisation des données ».

A titre d’exemple, si le traitement est sous-traité par un prestataire externe ou une filiale, le transfert ne devra concerner que les données qui sont nécessaires au destinataire pour exercer sa mission, par exemple, dans la gestion d’un CRM s’agissant de clients ou de l’établissement de la paie s’agissant de salariés.

• Conseil n°2 : tenter de limiter son transfert au sein d’un pays appartenant à l’Union Européenne ou assurant un niveau de protection adéquat.

Il va de soi qu’une telle recommandation doit être confrontée à une réalité opérationnelle, dont l’arbitrage pourra néanmoins inviter à privilégier des solutions non européennes compte tenu de leur performance ou de leur coût. Certains de ces acteurs, américains notamment, proposent de choisir un hébergement en Europe, qu’il sera alors recommandé de souscrire.

• Conseil n°3 : encadrer contractuellement le transfert, quel que soit le pays envisagé et quand bien même il n’est pas obligatoire ! 

Dans la majeure partie des cas, un transfert de données personnelles impose la rédaction d’un contrat, notamment du fait de l’obligation de souscrire aux clauses contractuelles types décrites ci-avant, ou encore parce que le destinataire est un sous-traitant dont l’article 28 du RGPD impose la rédaction d’un accord de traitement de données (« DPA » ou « Data Processing Agreement ») .

Néanmoins et même si le RGPD ne l’imposait pas expressément, la rédaction d’un contrat sera salutaire afin de permettre aux parties de démontrer avoir pris toutes les garanties nécessaires avant de procéder au transfert, non seulement auprès de la personne concernée mais également auprès des autorités de contrôle en cas de demande de leur part.

En pratique, un tel contrat pourra être rédigé entre responsables de traitement dans différentes hypothèses : transmission d’une base de données clients à un partenaire, transfert de données entre filiales d’un même groupe ou auprès d’institution représentative du personnel…

• Conseil n°4 : s’assurer que le destinataire des données est sérieux ! 

Il ne peut être nié qu’un transfert de données hors du territoire européen peut entrainer une part de risque complémentaire. De l’engagement contractuel à la pratique, il incombe au destinataire d’apporter des garanties opérationnelles qu’il est un partenaire de confiance et donc, répondre aux questions suivantes : quels sont les moyens mis en œuvre pour sécuriser les informations ? Quels outils sont utilisés et/ou auprès de quels sous-traitants fait-il appel ? Quelle collaboration est mise en œuvre en cas de demande de la personne concernée, d’audit ou de procédure de contrôle par une autorité ? 

Naturellement, le simple fait qu’un acteur soit reconnu dans son secteur ne suffira pas à offrir des garanties nécessaires mais constituera néanmoins un indice à ne pas négliger quant aux moyens mis en œuvre par celui-ci pour s’assurer de la conformité de sa solution dans l’intérêt d’une clientèle européenne.

Pour aller plus loin, n’hésitez pas à contacter Olivier Hayat (Hayat Avocat, droit du numérique & projets innovants) en lui écrivant ici.